PowerShell无文件持久化技术与常用的防御绕过技术

对于那些还没有使用该平台进行防护的组织来说，我们可以推荐一些方法来检测PowerShell的这种无文件持久化行为，其实这种恶意行为并不仅限于某种特定的模式，例如IEX。下面我们就为你列出一些预防措施，让你做到心中有数：

• 注意PowerShell命令的字符长度必要过大;
• 注意将PowerShell置于约束语言模式下的行为;
• 启用增强的PowerShell日志记录，例如脚本块日志记录;
• 经常对设备进行安全检测;
• 注意minesweeper.exe的出现;
• 监控诸如IEX，EncodedCommand等的使用;
• 利用Sysmon等工具提高记录功能，并检测可能由可疑进程(PowerShell)引发的流程注入，
• 审查DNS日志并寻找可疑的控制命令和DNS请求;
• 查找不是源自powershell.exe和powershell_ise.exe的System.Management.Automation.dll和System.Management.Automation.ni.dll;
• 在正常情况下禁止普通用户执行PowerShell命令(AppLocker +Device Guard可以防止普通用户使用PowerShell)。

【编辑推荐】

1. 安全 | 揭秘人工智能带来的网络安全威胁
2. 零信任的出现成为网络安全关注点
3. 2019年能改善组织网络安全的六项决议
4. 赛门铁克发布2019年及未来网络安全趋势预测
5. 物联网守卫战：企业如何应对僵尸网络攻击

（编辑：厦门网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!